Membuat kebijakan persetujuan otomatis untuk akses just-in-time node

Kebijakan persetujuan otomatis menggunakan bahasa kebijakan Cedar untuk menentukan pengguna mana yang dapat secara otomatis terhubung ke node yang ditentukan tanpa persetujuan manual. Kebijakan persetujuan otomatis berisi beberapa permit pernyataan yang menentukan dan. principal resource Setiap pernyataan menyertakan when klausa yang mendefinisikan kondisi untuk persetujuan otomatis.

Berikut ini adalah contoh kebijakan persetujuan otomatis.

permit (
    principal in AWS::IdentityStore::Group::"e8c17310-e011-7089-d989-10da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has costCenter && resource.hasTag("CostCenter") && principal.costCenter == resource.getTag("CostCenter")
};

permit (
    principal in AWS::IdentityStore::Group::"d4q81745-r081-7079-d789-14da1EXAMPLE",
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has organization && resource.hasTag("Engineering") && resource.hasTag("Production") && principal.organization == "Platform"
};

permit (
    principal,
    action == AWS::SSM::Action::"getTokenForInstanceAccess",
    resource
)
when {
    principal has employeeNumber && principal.employeeNumber like "E-1*" && resource.hasTag("Purpose") && resource.getTag("Purpose") == "Testing"
};

Prosedur berikut menjelaskan cara membuat kebijakan persetujuan otomatis untuk akses just-in-time node. Durasi akses untuk permintaan akses yang disetujui secara otomatis adalah 1 jam. Nilai ini tidak dapat diubah. Anda hanya dapat memiliki satu kebijakan persetujuan otomatis per Akun AWS dan Wilayah AWS. Untuk informasi selengkapnya tentang cara membuat pernyataan kebijakan, lihatStruktur pernyataan dan operator bawaan untuk kebijakan persetujuan otomatis dan akses penolakan.